Data retention policy: termini e criteri di conservazione dei dati

06/07/2015
di Leonardo

dirittoinf_10172219_xxlE’ arrivato il momento per ogni azienda di impostare una politica interna in materia di conservazione dei dati. Ogni singola società è in possesso di una grande quantità di informazioni importanti e fondamentali per il funzionamento dell’organizzazione, che coinvolgono anche dati personali, nonché dati sensibili e giudiziari così come definiti dal D.lgs. 196 del 2003 e s.m.i. (Codice Privacy) e pertanto soggetti all’adempimento di particolari soddisfacimenti.

La legge disciplina la raccolta, la conservazione e la trasmissione di informazioni personali, nonché sensibili e giudiziari.

Secondo il Codice privacy, le informazioni devono essere:

  1. lealmente e lecitamente elaborate;
  2. trattate per scopi limitati e specifici;
  3. adeguate, accurate, pertinenti e non eccedenti;
  4. non conservate più a lungo di quanto sia necessario;
  5. trattate nel rispetto dei diritti delle persone interessate;
  6. non trasferite a un Paese o di un territorio al di fuori dell’UE, a meno che il Paese o territorio di destinazione non garantisca un adeguato livello di protezione.

È doveroso pertanto stilare un documento con l’obiettivo di indicare la durata dei periodi di conservazione dei dati personali trattati nello svolgimento delle attività societarie del titolare del trattamento. La società, attraverso la data retention policy, dovrà fornire ai soggetti incaricati ad effettuare le operazioni di trattamento una guida sulla conservazione dei vari tipi di dati che la stessa detiene. In particolare, dovrà bilanciare da un lato la necessità per la medesima società di memorizzare le informazioni per adempiere agli obblighi di legge, nonché ai propri interessi, mentre dall’altro di eliminare i dati in modo sicuro quando non è più necessario conservarli.

La politica sulla conservazione dei dati dovrà concernere tutte le informazioni personali di cui è titolare la società, quindi sia quelle memorizzate e conservate in maniera cartacea, sia quelle detenute in modalità informatica ed elettronica, sia quelle trasmesse per posta, cartacea e/o elettronica, che quelle comunicate oralmente, come tramite contatto telefonico.

Il documento dovrà applicarsi a tutto il personale e comunque a tutti gli utenti eventualmente autorizzati a trattare le informazioni personali di cui la società è titolare, al fine di garantire la continuità aziendale e per evitare violazioni di legge, o statutarie, o regolamentari, o contrattuali applicabili in materia.

Il documento in parola sarà, quindi, utile alla società per impegnare tutti a proteggere i dati attraverso la conservazione in riferimento e secondo i principi di riservatezza, di integrità e di disponibilità richiesti dalla normativa. Più specificatamente, secondo gli artt. 31 ss. del Codice Privacy, ogni Titolare del trattamento deve adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici. La data retention policy, pertanto, deriva proprio da tale incombente.

In particolare, la società è chiamata a decidere in ordine alla distruzione dei supporti cartacei, e quindi dovrà indicare nel documento come gli stessi devono essere eliminati. Nello stesso tempo dovrà conferire precise istruzioni in ordine alla distruzione e/o dismissione e/o riutilizzo di componenti elettrici ed elettronici suscettibili di memorizzare dati personali.

Per tale ultimo argomento, si evidenzia che il Garante per la protezione dei dati personali, con il provvedimento in materia di gestione rifiuti apparecchiature elettriche ed elettroniche in relazione alle misure di sicurezza del 13 ottobre 2008, ha indicato precise misure da adottare in tali occasioni.

In particolare, l’Autorità, distingue le misure da adottare in base all’uso dei supporti di memorizzazione adoperati, ovvero se gli stessi devono essere:

  • reimpiegati o riciclati. In tali casi, il titolare dovrà adottare le seguenti misure:
    • misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici (Cifratura manuale o automatica di singoli file o gruppi di file);
    • misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici (cancellazione sicura delle informazioni, ottenibile con programmi informatici – quali wiping program o file shredder- , formattazione “a basso livello” dei dispositivi di tipo hard disk (low-level formatting–LLF), demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-ottici).
  • smaltiti. In tali casi, i supporti devono essere distrutti attraverso uno dei seguenti sistemi:
    • sistemi di punzonatura o deformazione meccanica;
    • distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
    • demagnetizzazione ad alta intensità.

Pertanto, considerate le suddette misure, la società nella policy dovrà indicare agli incaricati quali delle stesse adoperare.

Con la policy inoltre, la società dovrà indicare le relative responsabilità in caso di mancato rispetto della stessa. Sicuramente tutti i soggetti autorizzati all’accesso ai dati personali, sono responsabili della loro protezione e pertanto il mancato rispetto delle misure può comportare la sospensione o la revoca dell’accesso individuale ai sistemi di informazione societari, a relative procedure disciplinari e, in determinate circostanze, possono essere intraprese opportune azioni legali.

La parte più ardua, tuttavia, rimane la scelta dei termini di conservazione dei singoli dati trattati dalla società e quindi dei relativi documenti che li contengono. Le politiche inerenti i termini di conservazione non sempre sono stabiliti normativamente, al contrario per taluni trattamenti è necessario procedere ad un’attenta verifica che il risultato contemperi l’indubbio interesse aziendale a conservare i dati, con i principi fissati dal Garante Privacy anche rispetto alle finalità di trattamento perseguite.

A tale scopo sarà opportuno per la società mappare i singoli trattamenti effettuati nelle singole aree e direzioni, per poi comprendere dal punto di vista legale, ma anche contrattuale e statutario, la possibilità di mantenere i dati in maniera permanente o procedere alla cancellazione degli stessi secondo termini adeguatamente stabiliti.

Si precisa da ultimo che la policy sulla conservazione dei dati dovrà essere messa a disposizione di tutto il personale attraverso la pubblicazione nella intranet e/o nella bacheca aziendale, o comunque la società, in qualità di titolare del trattamento deve essere in grado di dimostrare l’avvenuta conoscenza delle stesse. Inoltre, naturalmente il documento dovrà essere tenuto aggiornato alla luce di eventuali modifiche agli obblighi di utilizzo legali o contrattuali.

Richiedi maggiori informazioni ai nostri esperti.

Errore: Modulo di contatto non trovato.

Riproduzione riservata ©

ALTRE NEWS

Recepita la Direttiva 2000/31/CE: definiti i ruoli dei service providers

È stato pubblicato sulla Gazzetta Ufficiale n. 87 del 14 Aprile 2003, il Decreto Legislativo datato 9 aprile 2003, n. 70 emesso in attuazione della… Leggi Tutto

GDPR: la costruzione di un sistema di gestione privacy passa dalla formazione

Nel 2017 il mercato digitale ha segnato un +2,3%, proseguendo la sua crescita e registrando importanti cambiamenti in termini di domanda ed offerta. A confermare… Leggi Tutto

IoT: attacchi informatici e responsabilità delle “aziende vittime”

L’innovazione tecnologica non può prescindere da un tema di sicurezza: occorre tener presente che oltre ad un interesse diretto di chi si avvale o comunque… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.